Riportano le linee guida sulla portabilità da poco emesse dal WP29:
L’articolo 20 del regolamento generale sulla protezione dei dati (RGPD) introduce il nuovo diritto alla portabilità dei dati. Tale diritto consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Il diritto in questione è soggetto a determinate condizioni e mira a promuovere la libertà di scelta degli utenti, il loro controllo sui trattamenti e i diritti dei consumatori.
In realtà tale diritto introdotto dal GDPR può essere una fonte rilevante di rischio sia per gli interessati, che possono veder sottrarre al proprio controllo una grande quantità di dati che li riguardano, sia per i titolari, chiamati a mettere in atto misure di sicurezza non indifferenti, in aggiunta all’impegno richiesto per permettere all’interessato…
…di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento…
È evidente che in tale contesto, come evidenziato dal WP29, possono esserci problemi di sicurezza, ad esempio durante la trasmissione dei dati.
Ancor più importante è il fornire i dati richiesti esclusivamente a chi ne ha diritto, cioè al vero interessato.
Diventa quindi fondamentale la capacità del titolare di identificare in modo assolutamente corretto e certo l’interessato che chiede di avere una copia dei propri dati o che chieda di trasferirli ad altro titolare.
Al riguardo le linee guida del WP29 riportano le seguenti indicazioni:
Come fa il titolare a identificare l’interessato prima di rispondere a una sua richiesta?
Il RGPD non contiene prescrizioni specifiche rispetto all’eventuale autenticazione di un interessato. Cionondimeno, l’art. 12, paragrafo 2, del regolamento stabilisce che il titolare non può rifiutarsi di dar seguito alla richiesta di esercizio dei diritti avanzata da un interessato (compreso il diritto alla portabilità dei dati), salvo che il trattamento di dati personali persegua uno scopo che non rende necessaria l’identificazione dell’interessato e il titolare possa dimostrare di non essere in grado di identificare l’interessato. Tuttavia, in casi del genere l’interessato stesso può fornire informazioni ulteriori ai fini della propria identificazione da parte del titolare – come prevede l’art. 11, paragrafo 2. L’art. 12, paragrafo 2, stabilisce, inoltre, che qualora il titolare nutra ragionevoli dubbi circa l’identità dell’interessato, può chiedere informazioni ulteriori per confermarne l’identità. Se l’interessato fornisce effettivamente tali informazioni ulteriori che ne consentono l’identificazione, il titolare non può rifiutarsi di dar seguito alla richiesta. Se dati e/o informazioni raccolti online sono collegati a pseudonimi o identificativi unici, i titolari possono istituire idonee procedure così da permettere all’interessato di presentare una richiesta di portabilità ottenendo i dati che lo riguardano. In ogni caso, i titolari devono prevedere una procedura di autenticazione in modo da stabilire con certezza l’identità dell’interessato che chiede i propri dati personali o, più in generale, chiede di esercitare i diritti riconosciutigli dal RGPD.
In molti casi procedure di autenticazione del tipo sopra descritto sono già in essere. Per esempio, spesso si utilizza un nome utente e una password per consentire all’utente di accedere ai propri dati negli account di posta elettronica, sulle piattaforme social, o in molti altri servizi – che in certi casi gli utenti scelgono di utilizzare senza rivelare il nome per esteso e la propria identità.
Fra i dati la cui errata comunicazione potrebbe comportare un rischio elevato per l’interessato potrebbero esserci, leggendo le linee guida, quelli legati ai rapporti bancari:
Analogamente, se l’interessato chiede che informazioni sulle proprie operazioni bancarie siano trasmesse a un servizio di supporto della gestione patrimoniale, il nuovo titolare non ha necessità di conservare la totalità di tali informazioni una volta effettuatane la categorizzazione.
In realtà questo esempio, introdotto dal WP29, deve essere valutato per quanto attiene il reale diritto di accesso e di trasportabilità dei dati da parte dell’interessato, alla distinzione che la normativa italiana attribuisce ai dati e ai documenti bancari.
Vanno infatti distinti gli accessi ai dati bancari (regolati dalla normativa privacy) dall’accesso ai documenti bancari (regolati dalla normativa bancaria), come del resto chiaramente riportato sullo stesso sito dell’Autorità Garante:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3557649
della quale riporto i punti principali:
- In cosa consiste il diritto di accedere ai propri dati bancari?
Il diritto di accedere ai propri dati bancari consiste nella possibilità di conoscere tutti i dati personali contenuti nei documenti in possesso dell’istituto di credito presso il quale si ha un conto corrente, un deposito titoli, ecc.
- Il titolare di un conto corrente può chiedere alla banca gli estratti conto relativi a un dato periodo, facendo riferimento alla legge sulla privacy?
No. Gli estratti conto sono documenti bancari che vanno richiesti sulla base del Testo Unico Bancario e non del Codice della privacy.
- Il titolare del conto può ottenere la copia integrale della documentazione in possesso della banca?
Sì, ma anche questa richiesta va fatta sulla base del Testo Unico Bancario e non del Codice privacy. Si tratta, infatti, di una possibilità diversa rispetto al diritto di accedere ai propri dati bancari.
- In presenza di una richiesta fatta ai sensi del Codice della privacy, la banca è obbligata a fornire la copia di tutti i documenti in suo possesso?
No.
La banca ha soltanto l’obbligo di estrarre dai documenti in suo possesso tutti i dati personali del richiedente.
- Quali informazioni il titolare del conto può richiedere alla banca sulla base del Codice privacy?
Il titolare del conto può richiedere tutti i dati personali che lo riguardano di cui la banca sia in possesso, quali ad esempio le informazioni relative alle operazioni effettuate (come le registrazioni telefoniche degli ordini di negoziazione), oppure i dati di carattere personale eventualmente raccolti dalla banca per eseguire gli ordini di investimento del cliente.
Dopo questa doverosa precisazione ritorniamo alle attività che un Titolare dovrà mettere in atto per dar corso agli obblighi imposti da questo nuovo diritto:
- una dettagliata mappatura dell’insieme o degli insiemi di informazioni che dovranno essere fornite a richiesta a ciascuna categoria di interessati
- eventuali altre normative da prendere in considerazioni per casi particolari, come quello appena citato
- predisporre le opportune implementazioni informatiche
- una dettagliata mappatura delle informazioni che dovrà potere conservare al fine di fornire un servizio richiesto da un interessato, se queste sono fornite direttamente dagli interessati o se provenienti da altri Titolari su richiesta degli interessati
- una procedura per la identificazione certa dell’interessato
- strumenti per permettere all’interessato un accesso diretto ai propri dati
- adeguate misure di sicurezza nella gestione di quanto sopra.
Il tutto in un generale contesto di conformità alle norme ed ai principi base di privacy by design ed accountability.
Decisamente si tratta di attività estremamente impegnative e costose, sia in termini organizzativi, sia tecnici, e che comportano una ulteriore classificazione dei dati personali rispetto a quelle fino ad oggi in uso (il set di dati personali per cui è necessario garantire la portabilità è inferiore a quello dei dati personali ai quali gli interessati hanno diritto di accesso). Una ulteriore informazione quindi da aggiungere nel registro dei trattamenti, che indipendentemente dall’obbligo o meno di redazione, è uno strumento assolutamente indispensabile al fine del corretto rispetto della normativa.
nei giorni scorsi la Commissione ha contestato la visione del WP29 sulla portabilità, sostenendo che si tratta di una indebita estensione oltre le intenzioni del co-legislatore.
avete seguito i termini della disputa? cosa ne pensate?
di seguito un interessante post sul sito IAPP
https://iapp.org/news/a/european-commission-experts-uneasy-over-wp29-data-portability-interpretation/?mkt_tok=eyJpIjoiTmpObU1tRTVORGN5T1RrMiIsInQiOiJSUG5zVnVJdnpzazlRdnA4NTk4bVhvQzI4bEtsQjlIR3ZPXC9zdU1nM2JoNnpSVkl0V3c4V21mMVpLaXZsZm90V2NrYjYwXC9ZTndHS0dJSDBVRDBMdVRKd0J6Z2o3Rko2WkxTZVlDc1czcXdxa3ZHU0hsNURqVlY2RGJKaXRiK2hIIn0%3D